Modelo de IA da Anthropic Descobre Milhares de Vulnerabilidades Zero-Day, Desencadeia Reunião Urgente com Presidente do Fed e CEOs de Bancos
Pontos principais
- O modelo de IA da Anthropic, Claude Mythos Preview, encontrou milhares de vulnerabilidades zero-day em sistemas operacionais e navegadores principais.
- A descoberta levou a uma reunião de emergência entre o presidente do Federal Reserve, o secretário do Tesouro e os CEOs de bancos para discutir os riscos cibernéticos.
- A Anthropic alerta que há uma janela de seis a doze meses para corrigir as falhas antes que adversários repliquem a capacidade.
- O modelo Mythos superou todos, exceto os humanos mais habilidosos, na detecção e exploração de vulnerabilidades de software.
- A Mozilla lançou o Firefox 150 com correções para 271 vulnerabilidades de segurança identificadas pelo Mythos em uma única passagem de avaliação.
O modelo de IA Claude Mythos Preview, da Anthropic, identificou milhares de vulnerabilidades zero-day em sistemas operacionais e navegadores principais, levando o presidente do Federal Reserve e o secretário do Tesouro a convocar uma reunião de emergência com CEOs de bancos para discutir os riscos cibernéticos. A empresa alerta que há uma janela de seis a doze meses para corrigir as falhas antes que adversários repliquem a capacidade.
O modelo de IA Claude Mythos Preview, da Anthropic, ainda não lançado, fez uma descoberta surpreendente: milhares de vulnerabilidades zero-day em sistemas operacionais e navegadores principais. Essa descoberta enviou ondas de choque pela indústria de cibersegurança, levando o presidente do Federal Reserve e o secretário do Tesouro a convocar uma reunião de emergência com CEOs de bancos para discutir os riscos potenciais. A empresa por trás do modelo de IA, Anthropic, alerta que há uma janela estreita de seis a doze meses para corrigir essas falhas antes que adversários possam replicar a capacidade.
A descoberta foi possível graças ao modelo Mythos, que superou todos, exceto os humanos mais habilidosos, na detecção e exploração de vulnerabilidades de software. Em testes controlados, identificou falhas que existiam sem detecção por décadas, incluindo um bug de 27 anos no OpenBSD e uma falha de execução de código remoto de 17 anos no FreeBSD. A Mozilla, por exemplo, lançou o Firefox 150 com correções para 271 vulnerabilidades de segurança identificadas pelo Mythos em uma única passagem de avaliação.
As implicações dessa descoberta são de longo alcance. A economia tradicional da cibersegurança depende da assimetria entre atacantes, que devem encontrar uma falha, e defensores, que devem proteger todas elas. O Mythos colapsa o custo em ambos os lados, permitindo que os defensores escaneiem todo o código para falhas que nunca souberam que existiam. No entanto, isso também significa que atacantes, uma vez que construam ou obtenham modelos equivalentes, podem fazer o mesmo.
A Resposta
A Anthropic escolheu um lançamento controlado do modelo Mythos, chamado de Projeto Glasswing, que deu acesso inicial a aproximadamente 40 empresas de tecnologia e instituições para fortalecer seus sistemas. A lista não inclui a maioria dos bancos centrais e governos. A assimetria é intencional: dar aos defensores uma vantagem antes que a capacidade se torne amplamente disponível. Os reguladores financeiros responderam rapidamente, com o presidente do Federal Reserve, Jerome Powell, e o secretário do Tesouro, Scott Bessent, convocando uma reunião com os principais CEOs de bancos dos EUA para discutir os riscos cibernéticos levantados pelo Mythos.
A preocupação não é que o Mythos seja usado para atacar bancos, mas que a capacidade que demonstra – descoberta automatizada de vulnerabilidades a uma velocidade superhumana – será replicada por adversários que não são limitados pelas práticas de divulgação responsável da Anthropic. O CEO da Anthropic, Dario Amodei, descreve o período atual como um